セールスセンターサイト

セールスセンター2023.03.27

クリックジャッキングとは? 被害例、対策方法を詳しく解説

クリックジャッキングとは? 被害例、対策方法を詳しく解説

近年、Webサイトを狙った悪質な攻撃が増えています。特に「クリックジャッキング」という手口は、Webサイト上のリンクやボタンを透明にしてユーザーをだまし、悪意のあるサイトのボタンをクリックさせる悪質な手口です。クリックすると、ウイルス感染やPCの乗っ取りなど大きな被害を受ける可能性が高くなります。
今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長(44歳)と新人セキュリティ担当の石塚さん(24歳)の会話から、クリックジャッキングの概要や被害例、対策方法について学びましょう。

目次

  1. 1. クリックジャッキングとは
  2. 2. クリックジャッキングによる被害の例
  3. 3. クリックジャッキングを防ぐための対策
  4. 4. まとめ

1. クリックジャッキングとは

石塚石塚

最近、Webサイトを狙った悪質な攻撃が増えているというニュースを見ました。どのような手口で狙ってくるんだろう…。

中山中山

偽サイトへの誘導を目的にした「クリックジャッキング」という手口があるよ。リンクやボタンを透明にして通常のWebページに重ね合わせた状態にして、悪意のあるサイトへクリックさせてしまう方法なんだ。

石塚石塚

そんな巧妙な攻撃があるんですね。仮にクリックしてしまうと、どうなるんでしょうか? 

中山中山

たとえば、自分のアカウントを乗っ取られて、データ破壊や情報流出などの被害を受けてしまう可能性もあるよ。

石塚石塚

怖いですね。クリックジャッキングを防ぐ方法を詳しく教えてください! 

クリックジャッキングとはWebブラウザを悪用した手口のこと

「クリックジャッキング」とは、ユーザーが利用するWebブラウザのページを悪用したサイバー攻撃の一種です。

罠となるページの上に「iframe(インラインフレーム)」と呼ばれる透明なページを上に重ね合わせることで、悪意のあるサイトを見えなくしてユーザーにクリックさせる手法です。実際にクリックしてしまうと、ウイルス感染やPCの乗っ取り、自宅にあるカメラやマイクを勝手に起動させられるなどの被害を受けてしまいます。

クリックジャッキングの罠ページの仕組みとしては、通常のWebページの上に悪意のあるページを透明化させて重ね合わせる方法と、通常のWebページの方を透明化させて悪意のあるページを見えるようにしておく方法があります。
どちらのページも、指定箇所をクリックするように誘導する構造・仕組みになっているため、ユーザーにとって厄介なサイバー攻撃の一つと認識されています。

罠ページの仕組み 罠ページの仕組み
出典:「安全なウェブサイトの作り方 - 1.9 クリックジャッキング」(IPA)

2. クリックジャッキングによる被害の例

中山中山

クリックジャッキングの恐ろしいところは、ユーザーにクリックを誘導させるような表示がページにたくさん仕掛けてある点だよ。視覚的にどうしてもだまされてしまうんだ。

石塚石塚

実際にクリックしたら、どのような被害を受ける可能性があるんですか?

中山中山

PCがウイルスに感染して内部のデータを破壊されてしまったり、PC自体を乗っ取られてSNSで勝手に投稿されたり、いろいろな被害にあう可能性があるよ。被害の例をいくつか紹介するね!

クリックジャッキングによる被害の例

被害例1:悪意のあるサイトをクリックしてデータ破壊や情報流出の被害にあう

クリックジャッキングでは、悪意のあるサイトを見えない状態にしてクリックを促します。クリックしたボタン自体がウイルス感染を引き起こすダウンロードボタンになっているケースもあります。

その結果、自身のPCの内部データを破壊されたり、保存していた個人情報を流出されたりと、さまざまな被害を受けてしまいます。

被害例2:SNSの乗っ取り

自身のSNSを乗っ取られてしまい、SNS上で勝手に投稿されたり、特定のアカウントをフォローさせられたりするなどの被害例があります。

たとえば、ユーザーのTwitterを乗っ取って悪意のあるURLなどを含んだツイートを発信し、ユーザーのフォロワーがそのURLをクリックしてウイルス感染などの二次被害にあう、といった事例もあります。

図1-4:ユーザー乗っ取り後の二次被害のイメージ図 図1-4:ユーザー乗っ取り後の二次被害のイメージ図
出典:「今月の呼びかけ」(IPA)

被害例3:勝手に商品の購入、送金をされてしまう

自分が意図していない商品を勝手に購入させられることもあります。PCを乗っ取られて気付かないうちに大量の商品や高額な商品を購入させられ、多額の請求書が届いてはじめて被害に気付くというケースです。

ほかにもネットショップのギフト券を送付させられたり、インターネットバンキング上で不正に送金を行われたりなど、クリックジャッキングの被害にあうと金銭面で大きなダメージを負う可能性が高くなります。

石塚石塚

自分が知らない間に高額な商品を勝手に購入されてしまう、と考えるとゾッとします…。

3. クリックジャッキングを防ぐための対策

クリックジャッキングによる被害を未然に防ぐためにはどのような対策を行えばよいのでしょうか。対策方法について解説します。

対策1:ブラウザでJavaScript、Flashを無効にする

ブラウザで閲覧するユーザー向けの対策として、ブラウザでJavaScriptやFlashなどを無効にする方法が挙げられます。ほとんどのブラウザで無効に設定することが可能で、不正なWebページを表示させるためのコードが機能しなくなります。

対策2: 重要な処理の操作を複雑化させる

重要な操作を行う際に単純な操作で完結できないようにしておくことも一つの手です。クリックジャッキングはユーザーに特定の操作を促しますが、複雑な操作を行わせることは難しいといえます。
重要な操作に関してはキーボード操作をプロセスに盛り込むなど、マウスでの簡単な操作のみで処理されないようにしておくことで、攻撃の成功率を下げることができるでしょう。

対策3:ブラウザやOSのセキュリティアップデート

ブラウザやOSのセキュリティアップデートを適宜行うことも有効な対策となります。クリックジャッキングはセキュリティの脆弱性を突いて攻撃を行います。セキュリティの隙を作らないように、常にブラウザやOSを最新バージョンにアップデートしておきましょう。

対策4:X-Frame-Optionsを設定する

ユーザーの設定や操作でクリックジャッキングの攻撃を完全に防ぐことは難しいため、「X-Frame-Options」も設定しておきましょう。
X-Frame-Optionsとは外部サイトの表示制限を行うHTTPレスポンスヘッダのことで、Webページ内に埋め込まれた外部サイトを表示させるかどうかを指定できます。

X-Frame-Optionsは以下のような設定値があります。

・DENY
すべてのWebページに対して、フレーム内の表示を禁止する。

・SAMEORIGIN
同じサイト内のWebページのみ、フレーム内の表示を許可する。

・ALLOW-FROM origin
指定したサイトのWebページのみ、フレーム内の表示を許可する。

たとえばHTTPのレスポンスヘッダに「X-Frame-Options: DENY」のように出力することで、iframe要素によるページ読み込みを制限できます。

これらを設定することで悪意のあるページを除外することが可能になります。ただし、複数のドメインを使い分けているWebページの場合は設定が複雑になってしまうため注意が必要です。

4. まとめ

クリックジャッキングは、ユーザーが利用するWebブラウザを悪用した手口です。悪意のあるサイトをクリックしてしまうと、そこからデータ破壊や情報流出などの被害を受ける可能性が高まります。
対策としては、ブラウザの「設定」からJavaScript、Adobe Flashを無効化すること、X-Frame-Optionsでの設定などが有効です。ブラウザやOSのセキュリティアップデートも適宜行い、被害を未然に防ぎましょう。

安心と安全を提供する Symantec

お役立ち資料を
ダウンロード
須賀田 淳
記事監修
須賀田 淳
マーケティング
ICT商材のマーケティング歴20年。広告代理店で著名な外資系ITベンダーの支援を行った後、NTTDグループで自動車業界向けソフトウェアの拡販とユーザーコミュニティの育成を担当する。2020年からSBGに参画し、LINEを経てセキュリティ製品のマーケティングを行う。インタビューでの情報収集を好む。